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_ La pr6sente Invention conceme un syst^me crypto- 
graphique, associant les principes dits du loaarithme discret 
et de la factorisation, oomprenant un systeme de chlffre- 
ment et dechiffrement et un systeme de sequestre de cl6s 
et les appareils et dispositifs associ6s. 

Elle est particulierement destinee a etre mise en oeuvre 
dans des syst^mes ^lectroniques du type cartes k puce, 
cartes PCMCIA, des badges, des cartes sans contact ou 
tout autre apparell portable 
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SYSTEME CRYPTOGRAPHIQUE COMPRENANT UN SYSTEME 
DE CHIFFREMENT ET DECHIFFREMENT ET UN SYSTEME DE 
SEQUESTRE DE CLES, ET LES APPAREILS ET DISPOSFOFS 

ASSOCIES 

5 



La presente invention conceme un systeme cryptographique, 
comprenant iin systeme de chiffrement et dechiffrement et un systeme de 
10 sequestre de cles, et les appareils et dispositifs associes. 

Elle est particulierement destinee a etre mise en oeuvre dans des 
systemes electroniques du type cartes a puce, cartes PCMCIA, des badges, 
des cartes sans contact ou tout autre appareil portable. 

15 

La plupart des systemes de cryptographic a cle publique (dite aussi 
cryptographic asymetrique) existant a ce jour mettent en oeuvre Talgorithme 
de chiffrement RSA, public en 1978 par R. Rivest, A. Shamir et L. Adleman 
puis brevete sous Tintitule « Cryptographic Communications System and 
20 Method » et la reference US 4,405,829. 

Mis a part le systeme RSA, il existe tres peu de precedes et systemes 
pratiques de chiffrement a cle publique. II existe cependant un autre systeme, 
moins connu et relativement peu utilise: il s'agit du systeme El-Gamal, 
25 connu sous T intitule « A public-key cryptosystem and a signature scheme 
based on discrete logarithms » et public dans la revue IEEE Transactions on 
Information Theory, vol. IT-31, no. 4, 1985, pp. 469-472. 

Un cryptogramme RSA ou El-Gamal est en fait un grand nombre 
30 represente dans un ordinateur par des chaines de chiffres binaires ou 
hexadecimales. Le cryptogramme est calcule a I'aide d'une ressource de 
calcul logicielle (programme) et/ou materielle (circuit electronique) mettant 
en oeuvre une serie de regies de calcul (ralgoritfune de chiffrement) devant 
etre appliquees lors du traitcment d'un ensemble de parametres accessible a 
35 tons afin de cacher le contenu des donnees traitees. De fa9on analogue, le 
cryptogramme est dechiffre a Taide d'une ressource de calcul logicielle ou 
materielle mettant en oeuvre une serie de regies de calcul (ralgorithme de 
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dechiflfrement) appliquees (par le recepteur du cryptogramme) sur un 
ensemble de parametres secrets et publics et le cryptogramme. 

Le systeme ou procede de chiflfrement fait usage d'une cle publique 
s afin de produire le cryptogramme. Le procede de dechiffirement utilise une 
cle privee qui correspond a la cle secrete sans toutefois lui etre identique. Un 
utilisateur d'un appareil electronique portable, par exemple une carte a puce, 
possede une paire de cles (appelees cle publique et cle secrete). II est 
suppose que les cles publiques sont connues de tous les utilisateurs alors que 
10 les cles secretes ne sont jamais devoilees. Toute personne a la capacite de 
chiffrer un message pour un utilisateur en utilisant la cle publique de ce 
dernier mais des cryptogrammes ne peuvent etre dechiffres autrement qu'en 
utilisant la cle secrete de Tutilisateur. 

15 A titre d'illustration il va etre decrit dans ce qui suit le 

fonctionnement de Talgorithmc bien coimu RSA. 

Les parametres de Talgorithme RSA sont : 

20 ® Deux nombres premiers secrets p et q de taille au moins egale a 256 bits. 
Ces nombres premiers sont generes d'une fa9on particuliere dont le detail 
n'est pas indispensable a la comprehension de la presente invention mais 
pent etre toutefois retrouve dans Touvrage « Cryptographie Appliquee, 
Algorithmes, Protocoles et Codes Source », par Bruce Schneier (Traduction 

25 de Marc Vauclair), Editions Thomson Publishing. 

® Un module public n = p q. 

(D Une paire d'exposants notee {e,d}, e etant un exposant public et d un 
30 exposant secret tels que : 

ed=lmod(p-l)(q-l) 

L'exposant e, appele « exposant de chif&ement » est accessible a tous 
35 alors que « Texposant de dechiffrement » d doit rester secret. 
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Afin de chiffrer le message m, I'expediteur calcule le cryptogramme 
c= mod n et le recepteur ou organe verifieur dechififre c en calculant m = 
c** mod n. 

5 Le fonctiomiement de I'algoritfame d'EI-Gamal est, quand a lui, tm 

peu plus complexe et ne presente pas un interet particulier pour la 
compiehension de la presente invention. 

La presente invention conceme un systeme cryptographique 
10 comprenant un systeme de chififrement-dechif&ement a cle publique 
altematif qui presente une alternative a la methode RSA et a la methode 
d'El-Gamal et un systeme de sequestre de cles (communonent appele en 
Anglais « key escrow »). 

15 Selon rinvention, il est prevu que le systeme cryptographique 

associant les principes dits du logarithme discret et de la factorisation, 
comprend entre autres des cles publiques et une cle secrete, et est caracterise 
en ce que lesdites cles publiques comprennent, au moins : 

20 a. un module RSA n, de taille superieure a 640 bits, ayant la propriete 

suivante : 

n = (ApA+l)x(B Pb + 1) 

25 dans laquelle: 

Pa Pb sont des nombres premiers de taille superieure a 320 bits, 
(A Pa + 1) est un premier RSA note p, 
(B Pb + 1) est un premier RSA note q, 

A est le produit de k/2 (k etant un nombre entier pair compris entre 
30 10 et 120) nombres premiers (notes p[i], i=l a k/2) de taille relativement 
petite (entre 2 et 16 bits) et 

B est le produit de k/2 nombres premiers (notes encore p[i], i=k/2+l a 

k); 

les p[i] etant de taille relativement petite (entre 2 et 16 bits), et 
35 pouvant egalement etre mutuellement premiers; 
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b. une base d'exponentiation g, d'ordre <Kn)/4 (ou <t>(n) note la 
fonction indicatrice d'EuIer), g ne devant done pas etre une puissance p[i]- 
eme modulo n d'aucun nombre. 

5 Plus precisement, Tinvention se rapporte a un systeme 

cryptographique comprenant au moins un systeme de chififrement- 
dechiflfrement caracterise en ce que: le chif&ement d'un message m, m<AB, 
consiste en Toperation : 

10 c = g" mod n 

oil c note le ciyptogramme (message chiffre). 

D'une maniere preferentielle, le systeme cryptographique selon 
15 rinvention est caracterise en ce que Tintegrite de m peut etre assuree par le 
chif&ement de m|h(m) (h denotant une fonction de hachage et |la 
concatenation), ou par le chif&ement de DES(cle,m), « cle » etant une cle 
accessible a tous. 

La presente invention a egalement pour objet la description d'un 
20 systeme de sequestre. Selon Tinvention, ladite cle secrete du dechif&eur ou 
du centre de sequestre est le nombre ^{n) et Toperation de dechiflfrement ou 
de recouvrement de I'identite d'un utilisateur consiste en les etapes suivantes 

a. calculer pour i allant de I a k : y[i] = c**"^**''* mod n; 

25 

b. pour i allant de I a k 
pour j allant de I a p[i] 

comparer y[i] aux valeurs g* mod n independantes de m; si 
g^"^"*''' mod n = y[i] alors afTecter ^[iH 

30 

c. recomposer le message m a partir du theoreme des restes 
chinois TRC et des valeurs fx[i]. 



35 

Selon une variante de realisation, ledit dechif&eur accelere le calcul 
des quantites y[i] en calculant : 
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a) z = c' mod n. ou r = pA Pb 

b) pour i allant de 1 a k : y[i] = ^^^^ mod n, 

5 

de maiiiere a profiter de la difference de taille entre AB/p[i]) et <Kn)/p[i] pour 
accelerer les calculs. 

Selon une autre variante de realisation de I'invention, le dechiffreitf 
10 pre-calcule et sauvegarde, une fois pour toutes, la table des valeurs g* 
modnpour 1 <i<ket 1 <j<p[i] 
ou, 

plus specifiquement une troncature ou un hachage de ces valeurs (note h) 
ayant la propriete suivante : 



15 



20 



25 



Ainsi, cela evite d'une part le re-calcul pour chaque i des quantites 
gWnVpPl ^ d'autre part le stockage de valeurs de trop grande taille, 

Selon un autre mode preferentiel de Tinvention, le dechif&eur 
accelere ses calculs en dechiffrant separement le message modulo p puis 
modulo q et en composant les resultats modulo a Faide du theoreme des 
restes Chinois afin de retrouver m. 

Le systeme de sequestre est realise par les etapes de fonctionnement 
suivantes: 

a. Tautorite de sequestre code Tidentite de Putilisateur ID = Z 2** 
ID[i] ou ID[i] sont les bits de Tidentite dudit utilisateur du systeme (la 

30 sonrnie etant prise pour i allant de 1 a k) en calculant e(ID) = 0 p[i]^^''' 
pnxiuit etant pris pour i allant de 1 a k); 

b. elle delivre a Tutilisateur une cle ( c*est a dire une base 
d'exponentiation) El-Gamal c = g^^^^ mod n, 

35 dans laquelle u est un grand premier aleatoire ou un nombre 

premier avec <^(n); 
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c. elle rend ainsi possible a rutilisateur de deliver de c sa cle publique 
EI-Gamal en choisissant un alea x et en elevant c a la puissance x modulo n. 

d. dans le but de retrouver la trace de Tutilisateur, I'autorite extrait du 
5 cryptogramme El-Gamal du chiffreur, ledit cryptogramme comprenant 

toujours deux parties, la partie : 

V = c^ mod n 

10 ou r est I'alea de chiflrement choisi par le chifTreur. 

e. Cotmaissant ^{n), ladite autorite retrouve les bits ID[i] par 
Talgorithme suivant: 

15 © calculer pour i allant de 1 a k : y[i] = v*^"^*"^*' mod n 

® si y[il=l, alors ^[i]=l, sinon i4i] = 0 

(D calculer : 
20 ID' = ZrV[i] 

® retrouver : ID = CCE(ID') 

dans lequel CCE note un mecanisme (optionnel) de correction d'erreurs (du 
25 type de ceux decrits dans Touvrage « Codes Correcteurs, Theorie et 
Pratique » par A. Poll et L. Huguet, Editions Masson) destine a corriger les 
perturbations introduites dans le cas d'une utilisation illicite d'un r 
composite. 

30 Un autre systeme de sequestre propose est base sur le mecanisme 

d'echange de clcs dit de Diffie-Hellman ou un nombre c, obtenu en elevant g 
a une puissance aleatoire a modulo n par Tune des parties, est intercepts par 
ladite autorite de sequestre: 

35 c = g" mod n 



ladite autorite de sequestre retrouve a de la fa^on suivante : 
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a. connaissant la factorisation de n, ladite autorite retrouve, a I'aide de 
ralgorithme de dechiffrement, la valeur 

5 a = a mod AB 
soita = a + P AB; 

b. ladite autorite calcule : A. = c / g*^ mod n = g^"^ ^ mod n 

10 

c. en utilisant un algorithme de cryptanalyse (algorithme de caicul de 
logarithmes discrets, eventuellement execute deux fois (modulo p et modulo 
q) afin d'en accelerer les performances), Tautorite calcule le logarithme 
discret p 

15 

;i = (g^/modn 

d. ladite autorite retrouve 
20 a = a + pAB 

et dechiffre les communications basees sur Temploi de a. 

25 Selon une autre realisation de Tinvention, le module RSA n est le 

produit de trois facteurs: 

n=(ApA + l)x(BpB + l)x(Cpc + 1) 

dans lequel: Pa, Pb, Pcsont des nombres premiers de taille 
30 superieure a 320 bits, 

(ApA + 1), (BpB + 1), (Cpc +1) sont des premiers 
RSA, notes respectivement p, q, r, 

A, B et C sont chacun le produit de k/3 nombres 
premiers (notes p[i], i=l a k), les p[i] etant de taille relativcment petite (entre 
35 2 et 16 bits) et pouvant etre des nombres mutuellement premiere et k etant un 
nombre entier compris entre 10 et 120, de telle sorte que le produit ABC ait 
au moins 160 bits. 



2759806 

8 



10 



Cette realisation est interessante pour accelerer la performance du 
dechiflfrement. Le dechiffreur, pour accelerer ses calculs, efFectue les 
operations mod p mod q mod r. Si n a 640 bits, le decouper en trois facteurs 
rend la taille des facteurs plus petite. 

La presente invention est destinee a etre disposee preferentiellement 
dans des appareils de chiflfrement, dechiflfrement et sequestre de cles qui sont 
par exemple des ordinateurs, cartes a puce, cartes PCMCIA, des badges, des 
cartes sans contact ou tout autre appareil portable. 



La presente invention a trait aussi a un dispositif comprenant un 
systeme cryptographique caracterise en ce qu'il comprend un systeme de 
chif&ement et/ou un systeme de dechif&ement et/ou un systeme de sequestre 
de cles, lesdits systemes communiquant entre eux par un echange de signaux 
IS eiectroniques ou par le biais d'un echange d*ondes radio ou de signaux 
inirarouges. 

De maniere a mieux comprendre 1' invention, il est necessaire 
d'apporter les conimentaires suivants. 

20 

Le procede de chiflfrement de Tinvention se decompose en trois 
phases distinctes : 

la generation des cles 

25 la generation du cryptogramme I 

et le dechiflfrement du cryptogramme. 

dans la suite, nous utiliserons les conventions (typographiques) suivantes : 

30 ^(n) notera la fonction indicatrice d'Euler. 

<t»(n) est definie ainsi : 

si n = ni X n2 X n3 X ... x n^.j x n^ 
35 ou n,, n2, n3, ... , ni^.i, n^ sont des nombres premiers alors : | 

♦(n) = ("i - 1X^2 - l)x(n3 - l)x x(nk.i - l)x(nk - 1) i 
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Tout d'abord et pour une bonne comprehension de T invention, il est 
necessaire de decrire la generation des cles. 

5 Afin de generer les cles, le recepteur des cryptogrammes choisit au 

hasard deux groiipes Ga et Gb d'environs k/2 petits premiers distincts p[i] (k 
etant un parametre systeme de Tordre de 10 a 120) et forme les deux 
nombres suivants (de taille approximativement egale) : 

10 A = produit des p[i] appartenant a Tensemble Ga 

B = produit des p[i] appartenant a I'ensemble Gb 

Pour des raisons de securite il semble approprie d'imposer Ga et Gb tels que: 

IS 

1. Ga ^ Gb soit I'ensemble nul 

2. Certains p[i] ne figurent pas dans Ga u Gb. 

20 Le procede inventif s*avere sur (quoique d'une description quelque 

peu plus complexe), meme si la condition 2 n'est pas satisfaite. Le procede 
reste egalement sur si la condition 1 n'est pas satisfaite, mais les algorithmes 
de generation de cles et de dechiflfrement doivent etre modifies en 
consequence, et deviennent notablement plus complexes. Aussi, les p[i] 

25 peuvent etre non-premiers tout en etant mutuellement prenuers (par exemple 
des puissances entieres de nombres premiers de deux ou trois octets). 

Pour la simplicitc de Texpose, on notera p[i], le i-eme nombre 
premier impair; par exemple: p[l]=3, p[2]=5, p[3]=7... 

II sera suppose dans la suite que A est simplement forme du produit 

30 des p[i] pour i de 1 a k/2, et B du produit des p[i] pour i de k/2+l a k, 
Cependant, ce choix n'est pas le meilleur possible, et il doit s'interpreter 
uniquement comme une convention de notation. 

Ensuite, le recepteur des cryptogranunes genere deux grands premiers 
(typiquement de Tordre de 200 a 512 bits) notes pA et Pb tels que p = A Pa + 

35 1 et q = B Pb + 1 soient des premiers RSA (les premiers RSA sont tels que, 
une fois multiplies, le produit n = p q doit etre difficile a factoriser). 
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Pour assurer la securite, il apparait preferable d'imposer aux differents 
parametres des tallies tninimales: 

1- le produit AB doit au minimum etre un nombre de Tordre 160 bits; 
5 2- la taille de chacun des nombres Pa, Pb doit exceder celle du produit 

AB d'au moins 160 bits; 

3- la taille du nombre n=p x q doit etre 640 bits au moins. 

La procedure de generation de tels premiers n'entre pas dans le cadre 
10 de la presente invention ct s'avere cvidente pour Thomme de Tart. 

Finalement, le recepteur du message genere et public un element g 
d'ordre <Mn)/4. 

15 Un tel g doit imperativement verifier la condition suivante : 

Pour tout i, il n'existe pas de x tel que g = x**^'^ mod n. 
g peut etre calcule a I'aide d'une des methodes suivantes : 

20 

♦ premiere metfaode de calcul de g (rapide): 
Le recepteur du message genere deux entiers : 
25 gp, d*ordre (p- 1)/2 modulo p 

gq, d'ordre (q-l)/2 modulo q 

Comme plus haut, la generation de gp est pratiquement equivalente a 
30 la creation d'un nombre qui ne soit pas une puissance p[i]- erne pour tout i 
inferieur a k/2 ; de meme pour g, avec les modifications evidentes: 

1 . fixer 

35 Xo= 1 

t, = l 
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tj = produit des p|j] pour j allant de 1 a i-1 

2. pour tout i allant de 1 a k/2 

prendre un x aleatoire 
elever x a la puissance tj 

SI X *^ '•'^ ' = 1 

essayer un autre x 

sinon 

calculer x^ = x (xi.i/^'' 

3. fixer gp=Xk/2 

4. fixer 

Xo= 1 

t, = l 

ti = produit des p|j] pour j allant de 1 a i-1 



20 S. pour tout i allant de 1 a k/2 

prendre un x aleatoire 
elever x a la puissance 

25 essayer un autre x 

sinon 

calculer Xj = x (Xj.,/'*^ 



15 



30 



6. fixer &,=Xk 



7. construire g a pardr de gp et g^ en appliquant la methode des restes 
chinois (notee TRC dans la suite de la description), methode decrite dans 
Touvrage «A course in number theory and cryptography », par Neal 
Koblitz, seconde Editions, Editions Springer-Verlag. II peut etre necessaire 
35 d'elever au carre le nombre produit pour obtenir finalement g. 
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On montre (le detail d'une telle preuve n'est pas necessaire pour la 
comprehension de la presente invention) que chaque etape de Talgorithnie 
determine un element qui n'est pas une puissance p|j]-eme pour j inferieur 
ou egal a i. 

5 

♦ seconde methode de calcul de g (simple) 

Une approche alternative consiste a choisir g aleatoirement et tester 
qu'un tel g n'est pas une puissance p(j]-eme modulo n. Un calcul precis 
10 montre que (en moyenne), un tel g sera trouve au bout de ln(k) tirages 
aleatoires (soit pour k = 120 environs une chance sur cinq). 

De maniere a bien comprendre Tinvention, il est maintenant 
necessaire de decrire la generation du cryptogramme. 

15 

Le cryptognunme c d'un message inferieur au produit AB est calcule 
par la fonnule : 

c = g" mod n. 

20 

La description de Tinvention s*oriente maintenant vers une 
description du dechiflfirement du cryptogranmie. 

Afin de retrouver m, le dechififreur effectue les operations suivantes : 

25 

® calculer pour i allant de I a k : y[i) = c*^"^^'*^ mod n 
Soit m[i]= m mod p[i] et m' = (m - m[i])/p[i] 
30 Par substitution, il est aise de voir que : 

= g-*<°Mi)modn 

= a-W*<»>^^'*»modn 
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® pour i allant de 1 a k faire : 
pour j allant de 1 a p[i] faire : 
si g»*<">^Pt'l mod n = y[i] affecter irii = j 

5 <D retrouver 

m = TRC(mi, 012,..., 

L'algoritfame de dechiffrement peut etre ameliore de diverses fa9ons : 

10 Typiquement, il est possible de pre-calculer et tabler les valeurs 

gj <Knypfii ^ toutes les valeurs des variables i et j necessaires au 
deroulement du dechiffirement. Aussi, une telle table peut etre tronquee ou 
hachee pourvu que la methode de troncature ou hachage (note h)assure que: 

15 hLg*^"^'^'*' mod n]^h[g*'^">''^til si j^j' 

Avec une telle realisation, il s'avere possible de dechiffrer des messages de 
20 octets avec k = 30 (le produit AB fait alors 160 bits, un module n de 80 
octets et une table de 4 kilo-octets). 

20 

Comme mentionne dans la partie « generation de cles », il peut etre 
plus judicieux de choisir 16 premiers de 10 bits, au lieu des 30 premiers p[i] 
(k vaut alors 16). Comme il existe 75 tels premiers, il y a environ 2^^^ choix 
possibles, il n'cst pas necessaire de publier les premiers choisis, bien que 
25 cela n'ajoute pas de securite supplementaire. 

II est meme possible de choisir des nombres mutuellement premiers; 
par exemple, des puissances de nombres premiers, ce qui augmente encore 
Feventail de choix de ces parametres. 

30 Une seconde realisation permet d'accelerer le dechiffirement en 

calculant, des reception du cryptogramme, la quantite : 

z = c mod n, ou r = Pa Pb 

35 Les quantites y[i] peuvent alors etre calculees plus facilement en 

empruntant le raccourci de calcul suivant : 
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y[i] = z'^''''Uodn 

profitant ainsi de la difference de taille entre AB/p[i] et <|>(n)/p[i] qui accelere 
Texponentiation. 

5 

Ufie troisieme realisation perniet d'accelerer le dechififrement en dechif&ant 
separement le message modulo p puis modulo q (p et q etant de la moitie de 
la taille de n, le dechlffirement sera deux fois plus rapide) et en composant les 
resultats modulo 4»(n). 

10 

Cette methode de dechlffirement altematif se decrit ainsi : 

® calculer pour i allant de 1 a k/2 : y[i] = c*^''^'*'*^ mod p 

15 Soit m[i]= m mod p[i] et m' = (m - m[i])/p[il 

Par substitution, il est aisc de voir que : 

y[i]=c*^P>'P'*l modp 
20 =g'"'^P>^'^'''modp 

^ (mfi]^m pm)«(pyp|.l j^^jp 
^gmfil*(pypmgm'*(P)^^^jp 

^g™m*(pypiii^^jp 

25 ® pour i allant de 1 a k/2 faire : 
pour j allant de 1 a p[i] faire : 
si ^^^^^^^ mod p = y[i] affecter n[i] = j 

<D retrouver : 

30 

m mod <|)(p) = TRC(ji[l] mod p[l],..., ji[k/2] mod p[k/2]) 
® refaire les etapes {®,®,(D} avec q a la place de p. 
35 ® calculer m = TRC(m mod ^(p), m mod ^(q)) 
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11 peut s'averer necessaire de proteger le message m centre la 
manipulation en chif&ant, par la methode proposee dans la presente 
invention, f(cle, m) dans laquelle f est mie fonction de chif&ement 
symetrique (par exemple Talgorithme DES) dont le parametre « cle » est 

5 accessible a tous. Altemativement, la methode de chif&ement peut verifier 
que le message m obtenu est bien tel que son chiffire soit c. line autre fa9on 
de proteger m peut etre le chiflfrement, par la m ethode proposee, de 
m|hash(mX ( c'est a dire c^g"*^*^"^ modn) ou hash(m) est un hachage du 
message m, et | represente la concatenation (dans ce cas, le dechiffrement 

10 verifie Tintegrite du message obtenu par calcul de son hache) 

II est possible d'etendrc le systeme de chif&ement ci-dessus decrit au 
cas ou le module n ne se compose plus de deux, mais de trois facteurs. On 
aura alors: 
15 n=pqr 

avec p=ApA+l, q=BpB+l, r=Cpp+l, Pa, Pb, Pc sont trois grands premiers (de 
200 a 512 bits), et A, B, C sont chacun le produit des petits premiers impairs 
distincts, provenant d'ensembles Ga, Gb , Gc. 

20 

Les modifications a apporter sont evidentes a Thomme de Tart. 

De plus, il apparait possible de relaxer legerement la condition 2 de la 
partie descriptive precedente sur la generation des cles (qui s*enonce ici: 
25 « certains p(i) ne figurent pas dans Ga'^GbuGc »). C'est ainsi qu'un jeu de 
parametres ou n a 640 bits, le produit ABC a 160 bits, et chacun des p[i] a 
correlativement 160 bits, assure une securite appropriee. 

La presente invention a pour second objet de decrire un systeme de 
30 sequestre de cles ameliorant le procede decrit par Y. Desmedt dans 
« Securing the traceability of ciphertexts - Towards a secure software key 
escrow system » (Proceedings o Eurocrypt'95, Lecture Notes in Computer 
Science 921) et complete par les observation formulees par L. Knudsen et T. 
Pedersen dans Taiticle «0n the difficulty of software key escrow » 
35 (Proceedings of Eurocrypt'%, Lecure Notes in Computer Science 1070). 
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Afin d'ameliorer notablement la fonction de sequestre de cles 
proposee par Y. Desmedt, nous considerons une variante de la methode de 
chifiTement : 

5 Soit ID, ridentite de chaque utilisateur, codee de maniere binaire; 

ID = Z2*'" lD[il 

oil ID[il sont les bits de Tidentite d'un utilisateur du systeme de sequestre de 
cles (la somme etant prise pour i allant de I a k) et soit e(ID) = 0 p[i]^°'*^ (le 
produit etant pris pour i allant de 1 a k). 

10 

Soit enfin c = g*^"^^" mod n ou u est un grand premier aleatoire. 

c est donne a T utilisateur comme base d'exponentiation pour 
chiflrement El-Gamal. L'utilisateur derive de c sa cle publique El-Gamal en 
IS choisissant un alea x et en elevant c a puissance x modulo n. 

Afin de tracer Tutilisateur, ledit centre de sequestre de cles extrait du 
ciyptogramme El-Gamal de Tutilisateur la partie : 

20 V = c^ mod n 

ou r est I 'alea de chififrement choisi par Tutilisateur. 

Connaissant <Kn), ledit centre retrouve les bits lD[i] par Talgorithme 
25 suivant : 

® calculer po B+ur i allant de 1 a k : y[i] = v*^"^^'*' mod n 

® pour i allant de 1 a k faire : 
30 pour j allant de 1 a p[i] faire : 

si y[i]=l affecter ^[i] a 1, sinon aflfecter ^[i] a 0 

® calculer : 
ID' = Z2*'Wi] 

35 
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® retrouver : ID = CCE(ID') 

ou CCE note un mecanisme de correction d'erreurs (du type de ceux decrits 
dans Touvrage « Codes Correcteurs, Theorie ei Pratique » par A. Poli et L. 

5 Huguet, Editions Masson) destine a corriger les perturbations introduites 
dans le cas d'une utilisation illicite d'un r composite. Le mecanisme de 
correction peut etre omis; Talgorithme permettant de suivre a la trace 
I'utilisateur devra alors subir des modifications evidentes a Thomme de Tart, 
et utiliser plusieurs quantites analogues a c^ mod n, correspondant a plusieurs 

10 executions de Talgorithme de chiffrement d'El Gamal. 

La presente invention a pour troisieme objet de presenter un second 
systeme de sequestre de cles base sur le mecanisme d'echange de cles dit de 
Diffie-Hellman, mecanisme brevete sous la reference US 4,200,770. 

15 

Dans un tel systeme, un nombre c, obtenu en elevant g a une 
puissance aleatoire a modulo n par Tune des parties est intercepte par 
Tautorite de sequestre. 

20 c = g* mod n 

Ladite autorite de sequestre retrouve a de la fa9on suivante : 

1. Connaissant la factorisation de n, Tautorite retrouve, a Faide de 
25 Talgorithme de dechififrement la valeur 

a = a mod AB 

soit a = a + P A B. 

30 

2. L'autorite calcule : 

X = c/ mod n = g^"^ ^ mod n 
35 (puisque c = g° mod n = g" ^'^^ mod n = g^g^'^ ^ mod n) 
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3. En utilisant un algorithme de cryptanalyse (algorithme de calcul de 
logarithmes discrets, eventuellement execute deux fois (modulo p et modulo 
q) afin d'en accelerer les performances), Tautorite caicuie le logarithme 
discret p. 

5 

X = (g^'*modn 

4. L'autorite retrouve 
10 a = a + pAB 

et dechiffre les communications basees sur Temploi de a. 

La realisation de Tinvention sera mieux comprise a la lecture de la 
15 description et des dessins qui vont suivre; sur les dessins annexes: 

- la figure 1 represente Vorganigramme d'un systeme chiffrant mettant en 
oeuvre le systeme propose par la presente invention. 

- la figure 2 represente Torganigramme d'un systeme dechiffrant mettant en 
oeuvre le systeme propose par la presente invention. 

20 - la figure 3 represente les donnees transmises entre le systeme chif&ant et le 
systeme dechiffirant pendant la transmission securisee d'un message m. 

Selon rinvention proposee, chaque appareil de chiflfirement 
(typiquement un ordinateur ou une carte a puce) se compose d'une unite de 
25 traitement (CPU), d'une interface de communication, une memoire vive 
(RAM) et/ou une memoire non inscriptible (ROM) et/ou une memoire 
inscriptible (generalement re inscriptible) (disque dur, disquette, EPROM ou 
EEPROM). 

30 Le CPU et/ou la ROM de Fappareil de chiffirement contiennent des 

programmes ou des ressources de calcul correspondant aux regies de 
generation du cryptogramme (multiplication, mise au carre et reduction 
modulaire). Certaines de ces operations peuvent etre regroupees (par 
exemple, la reduction modulaire peut-etre directement integree dans la 

35 multiplication). 
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De meme que pour rimplementation du RSA, la RAM contient 
typiquement le message m sur lequel s*applique le chififrement et les regies 
de calcul pour la generation du cryptogranune. Les disques, rE(E)PROM 
contiennent au moins les parametres n et g generes et utilises comme precise 
5 dans la description qui suit. 

Le CPU commande, via les bus d'adresse et de donnees, Tinterface de 
communication, les operations de lecture et d'ecriture memoire. 

10 Giaque appareil de dechififrement (identique a I'appareil de sequestre 

de clcs) est necessairement protege du monde exterieur par des protections 
physiques ou logicielles. Ces protections devraient etre suffisantes pour 
empecher toute entite non autorisee d'obtenir la clef secrete constituee des 
facteurs secrets de n. Les techniques les plus utilisees de nos jours en la 

15 matiere sont I'integration de la puce dans un module de securite et 
Tequipement des puces de dispositifs capables de detecter des variations de 
temperature, de lunuere ainsi que des tensions et des frequences dliorloge 
anormales. Des techniques de conception particulieres telles que 
Tembrouillage de I'acces memoire sont egalement utilisees. 

20 

Selon rinvention proposee, I'appareil de dechiffrement se compose au 
minimum d'une unite de traitement (CPU) et de ressources memoires (RAM, 
ROM, EEPROM ou disques). 

25 Le CPU commande, via les bus d'adresse et de donnees, Tinterface de 

communication, les operation de lecture et d'ecriture memoire. La RAM, 
EEPROM ou disques contiennent le parametre ^(n) ou, au moins, le facteurs 
de (|)(n). 

30 Le CPU et/ou la ROM de I'appareil de dechiffrement contiennent des 

programmes ou des ressources de calcul permettant d'implementer les 
diverses etapes du processus de dechiffrement decrites precedemment 
(multiplication, exponentiation et reduction modulaire). Certaines de ces 
operations peuvent etre regroupees (par exemple, la reduction modulaire 

35 peut-etre directement integree dans la multiplication). 
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Dans le cadre general de I'mvention proposee, iin chiflVement du 
message m est realisee en echangeant entre la carte, T^pareil de signature et 
Tappareil de verification au moins la donnee c. 
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REVENDICATIONS 

1. Systeme cryptographique associant les principes dits du logarithme discret 
et de la factorisation, comprenant entre autres des cles publiques et une cle 

s secrete, caracterise en ce que lesdites cles publiques comprennent, au moins : 

a. un module RSA n, de taille superieure a 640 bits, ayant la propriete 
suivante : 

10 n = (ApA+l)x(BpB+l) 

dans laquelle: 

Pa et pb sont des nombres premiers de taille superieure a 320 bits, 
(A Pa + 1 ) est un premier RSA note p, 
15 (B Pb + 1) est un premier RSA note q, 

A est le produit de k/2 (k etant un nombre entier pair compris entre 
10 et 120) nombres premiers (notes p[i], i=l a k/2) de taille relativement 
petite (entre 2 et 16 bits) et 

B est le produit de k/2 nombres premiers (notes encore p[i], i=k/2+l a 

20 k); 

les p[i] etant de taille relativement petite (entre 2 et 16 bits), et 
pouvant element etre mutuellement premiers; 

b. ime base d'exponentiation g, d'ordre ^{n)/4 (ou <j>(n) note la 
25 fonction indicatrice d'Euler), g ne devant done pas etre une puissance p[i]- 

eme modulo n d'aucun nombre. 

2. Systeme cryptographique selon la revendication I comprenant au moins 
un systeme de chiffrement-dechifirement caracterise en ce que: 

30 le chiffirement d*un message m, m<AB, consiste en Toperation : 

c = g"" mod n 

ou c note le cryptogramme (message chiffre). 

35 

3. Systeme cryptographique selon la revendication 2 comprenant un systeme 
de chiffrement-dechiffrement caracterise en ce que Tintegrite de m 
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pent etre assuree par le chififrement de ni|h(in) (h denotant une fonction de 
hachage et |la concatenation), ou par le chififrement de DES(cle,mX ladite cle 
etant une cle accessible a tous. 

s 4. Systeme ciyptographique selon la revendication 1 comprenant un systeme 
de chif&ement-dechifi&ement et un systeme de sequestre de cles caracterise 
en ce que: 

ladite cle secrete du dechiifreur ou du centre de sequestre est le nombre ^n) 
et en ce que Toperation de dechiffirement ou de recouvrement de I'identite 
10 d^un utilisateur consiste en les etapes suivantes : 

a. calculer pour i allant de 1 a k : y[i] = c*^"^p*'* mod n; 

b. pour i allant de 1 a k 
pour j aUant de 1 a p[i] 

15 comparer y[il aux valeurs g* ♦^"^^^'^ mod n independantes de m; 

si g**^"^*l mod n = y[i] alors affecter ji[i]=j 

c. recomposer le message m a partir du tfaeoreme des restes 
chinois TRC et des valeurs ^[i]. 

20 

5. Systeme cryptographique selon la revendication 4 comprenant un systeme 
de chi£frement-dechiffirement et un systeme de sequestre de cles caracterise 
en ce que ledit dechififreur accelere le calcul des quantites y[i] en calculant : 

25 a) z = c^ mod n. ou r = pA pB 

b) pour i allant de 1 a k : y[i] = ^ mod n, 

de maniere a propter de la diflTerence de taille entre AB/p[i]) et <Kii)/p[i] pour 
30 accelerer les calculs. 



6. Systeme cryptographique selon la revendication 4 ou 5 comprenant un 
35 systeme de chiffirement-dechifirement et un systeme de sequestre de cles 



23 



2759806 



caracterise en ce que le dechifiTeur pre-calcule et sauvegarde, ime fois pour 
toutes, la table des valeurs ^""^^'^ mod n pour 1 < i < k et 1 < j < p[i] 
ou, 

plus specifiquement une troncature ou un hachage de ces valeurs (note h) 
5 ayant la propriete suivante : 

7. Systeme cryptographique selon Tune quelconque des revendications 4 a 6 
10 comprenant un systeme de chiffrement-dechiffrement et un systeme 

sequestre de cles caracterise en ce que le dechiffreur accelere ses calculs en 
dechiffrant separement le message modulo p puis modulo q et en composant 
les resultats modulo a Taide du theoreme des restes Chinois afin de retrouver 
m. 

15 

8. Systeme ciyptographique selon Tune quelconque des revendications 4 a 7 
caracterise en ce qu'une autorite ou centre de sequestre des cles realise les 
estapes suivantes: 

20 a. elle code Tidentite de Tutilisateur ID = Z 2'"^ ID[i] ou ID[i] sont les 

bits de ridentite dudit utilisateur du systeme (la somme etant prise pour i 
allant de 1 a k) en calculant e(ID) = U p[i]"^''' (le produit etant pris pour i 
allantde 1 ak); 

25 b. elle delivre a Tutilisateur une cle ( c'est a dire une base 

d'exponentiation) El-Gamal c = g*^"^^ mod n, 

dans laquelle u est un grand premier aleatoire ou un nombre premier 
avec <Kn); 

30 c. elle rend ainsi possible a Tutilisateur de deriver de c sa cle publique 

El-Gamal en choisissant un alea x et en elevant c a la puissance x modulo n. 

d. dans le but de retrouver la trace de Putilisateur, Tautorite extrait du 
ciyptogramme El-Gamal du chiffreur, ledit cryptogramme comprenant 
35 toujours deux parties, la partie : 



v = c' mod n 
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ou r est Talea de chiffrement choisi par le chifi&eur. 

e. Connaissant (^(n), ladite autorite retrouve les bits ID[i] par 
I'algorithme suivant: 

5 

® calculer pour i allant de 1 a k : yf i] = v*^"^'*'"' mod n 
® si y[il=l, alors Ji[i]=l, sinon ji[i] = 0 
10 G> calculer : 

® retrouver : ID - CCE(ID*) 

15 dans lequel CCE note un mecanisme de corrections d*erreurs. 

9. Systeme cryptographique selon Tune quelconque des revendications 
4 a 7 comprenant un systeme de sequestre de cles caracterise en ce qu'il est 
base sur le mecanisme d^echange de cles dit de Diffie-Hellman ou un 
20 nombre c, obtenu en elevant g a une puissance aleatoire a modulo n par Tune 
des parties, est intercepte par ladite autorite de sequestre. 

c = g* mod n 

25 ladite autorite de sequestre retrouve a de la fa9on suivante : 

a. connaissant la factorisation de n, ladite autorite retrouve, a Taide de 
I'algorithme de dechiflrement, la valeur 

30 a = a mod AB 

soit a = a + p A B; 

b. ladite autorite calcule : A, = c / g^ mod n = g^ ^ mod n 
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c. en utilisant im algorithme de ciyptanalyse Tautorite calcule le 
logarithme discret p 

\ = (g^fmodn 

5 

d. L'autorite retrouve 

a=a+p AB 

10 et dechiffre les communications basees sur I'emploi de a. 

10. Systeme cryptographique salon Tune quelconque des revendications 2 a 

9 comprenant im systeme de chiifrement-dechiffirement et un systeme de 
sequestre de cles caraterise en ce que le module RSA n est le produit de trois 

IS facteurs: 

n=(ApA + l)x(BpB + l)x(Cpc + 1) 

dans lequel: Pa, Pb, Pc sont des nombres premiers de taille 

superieure a 320 bits, 
20 (ApA + 1 ), (BpB + 1), (Cpc +1) sont des premiers 

RSA, notes respectivement p, q, r, 

A, B et C sont chacun le produit de k/3 nombres 

premiers (notes p[i], i=l a k), les p[i] etant de taille relativement petite (entre 

2 et 16 bits) et pouvant etre des nombres mutuellement premiers et k etant un 
25 nombre entier compris entre 10 et 120, de telle sorte que le produit ABC ait 

aumoins 160 bits. 

11. Systeme cryptographique selon Tune quelconque des revendications 1 a 

10 comportant un systeme de chififrement-dechiflTement ou de sequestre 
30 caracterise en ce que les appareils de chiffrement, dechifirement et sequestre 

de cles sont des ordinateurs, cartes a puce, cartes PCMCIA, des badges, des 
cartes sans contact ou tout autre appareil portable. 

12. Dispositif comprenant un systeme cryptographique selon Tune 
35 quelconque des revendications precedentes caracterise en ce qu'il comprend 

un systeme de chif&ement et/ou un systeme de dechifirement et/ou un 
systeme de sequestre de cles, lesdits systemes conununiquant entre eux par 
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un echange de signaux electroniques ou par le biais d'un echange d'ondes 
radio ou de signaux inirarouges. 
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